5년전 FBI의 테러범 아이폰 '잠금해제' .."호주 해커들이 도왔다"

이철민 선임기자 2021. 4. 15. 14:40
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

미 연방수사국(FBI)이 2015년 12월 미국 캘리포니아 주에서 발생한 이슬람 총기테러 사건의 범인이 사용한 아이폰(iPhone 5C)의 잠금 장치를 풀 수 있었던 것은, 호주의 잘 알려지지 않은 보안기업 덕분이었다고, 워싱턴포스트가 14일 보도했다. 지금까지는 아이폰 제조사인 애플이 ‘잠금 해제’에 협조하지 않자, FBI가 이스라엘 기업의 도움으로 2016년 이를 풀 수 있었던 것으로 알려졌다. 이 신문은 “지금까지 5년간 아이폰 잠금 장치를 푼 기업의 정체는 철저히 비밀에 싸여 있었고, 심지어 애플 조차도 FBI가 어떤 기업의 도움을 받았는지 알지 못했다”며 “애플은 작년에야 무관한 다른 사건의 소송을 통해서 ‘애지머스’에 대해 알게 됐다”고 전했다.

2015년 12월 2일, 크리스마스 행사 중이던 미 캘리포니아주 샌버너디노 시의 장애인 복지·재활 센터에 파키스탄 출신의 부부가 여러 정의 총과 파이프 폭탄 등을 들고 들어와 난사했다. 14명이 숨졌다. 범인 중 남편은 이 센터의 위생검사관이었다. 경찰과의 총격전 끝에 부부는 살해됐고, FBI는 이슬람 외부 세력 등 이 테러의 배후 가능성을 밝히려면, 남편 사예드 파루크가 사용한 아이폰 5C의 잠금 장치를 풀어야 했다. 그때까지 FBI는 비밀번호 네 자리를 한없이 반복 시도하는 방식으로, 약 25분이면 아이폰의 보안을 해제할 수 있었다. 그러나 아이폰 5C엔 비밀번호를 10회 이상 입력 오류 시, 데이터가 삭제되는 기능이 추가됐다. FBI로서는 ‘무한 반복’을 시도할 수 없었다.

2015년 12월 초, 샌버너디노 카운티의 장애인 복지센터에서 총기를 난사해 14명을 살해한 파키스탄 출신의 이슬람테러범 부부인 사예드 리즈완 파룩(왼쪽)과 아내 태쉬핀 말릭.

2015년 12월 초, 샌버너디노 카운티의 장애인 복지센터에서 총기를 난사해 14명을 살해한 파키스탄 출신의 이슬람테러범 부부인 사예드 리즈완 파룩(왼쪽)과 아내 태쉬핀 말릭.

그러나 아이폰 제조사인 애플은 FBI의 “잠금 장치를 풀 전용 OS를 개발해 달라”는 요청을 거부했다. 애플 측은 이런 ‘백도어(back door)’를 만들면 ‘개인 정보 보호’가 취약해지고, 제3자가 악용할 우려가 있다는 이유를 댔다. 구글·마이크로소트프·아마존 등 미국의 주요 IT 기업들도 애플의 이러한 거부를 지지했다. FBI의 애플을 상대로 한 법적 소송도 지지부진했다. 제임스 코미 당시 FBI 국장은 테러 발생 두 달이 지난 시점에서도 미 의회에 “아이폰 잠금 장치를 풀지 못했다”고 보고해야 했다.

이랬던 FBI가 2016년 3월에 아이폰의 잠금 장치를 풀 수 있었던 것은 ‘애지머스(Azimuth) 시큐리티’라는 호주의 보안 기업의 덕분이었다고, 워싱턴포스트는 보도했다. ‘애지머스’는 권위주의 정부의 보안 결함을 노출하고, 공익(公益)·학문적 목적으로 모의 해킹을 해 보안 시스템의 취약 부분을 파헤치는 이른바 ‘화이트햇(white hat)’ 해커들이다. ‘애지머스’는 오직 민주적인 정부에만 자신들의 이 해킹 기술을 판매한다고 한다.

워싱턴포스트는 여러 보안 전문가들과의 인터뷰를 거쳐 “애지머스의 창업자인 41세의 마크 다우드와, 30세의 예일대 중퇴생 데이비드 왕이 팀을 이뤄 아이폰 5C의 잠금 장치를 풀었다”고 소개했다. 다우드는 기존 소프트웨어에서 찾아낸 버그(bug)를 이용해 공격 프로그램을 작성하는 이른바 ‘익스플로잇(exploits) 디자인’의 모차르트라 불리는 인물이었고, 왕은 아이폰의 운영체계(iOS) 제한을 임의로 푸는 ‘탈옥(jailbreaking)’을 성공해 27세에 해커들의 오스카 상이라고 하는 ‘퍼니(Pwnie) 상’을 받은 인물이었다. 다우드는 FBI의 고민을 뉴스에서 접하고 왕에게 연락을 취했고, FBI는 시드니에 있는 이들을 접촉했다.

두 사람은 아이폰과 외부 액세서리 장치들을 연결하는 ‘모질라(Mozilla)’사의 공개 소프트웨어에서 버그를 찾았고, 이를 이용해 폰에 접근하는 ‘익스플로잇’을 순차적으로 만들어 결국 아이폰의 뇌(腦)라 할 코어 프로세서를 완전히 장악했다. 비밀번호 10회 입력 오류 시, 폰에 입력된 자료를 삭제하는 기능을 우회할 수 있었다.

2016년 3월 중순, ‘애지머스’는 이 해킹 기술을 FBI 본부에서 시연했고, 결국 1주일 뒤에 FBI는 범인의 아이폰에 입력된 자료의 파괴 없이 비밀번호를 풀 수 있었다. 애지머스에겐 90만 달러가 지급됐다고 한다.

잠금장치가 풀린 범인의 아이폰에선, 아내가 페이스북을 통해 당시 이슬람테러집단 ‘이슬람 국가(IS)’의 지도자인 아부 바크르 알-바그다디(2019년 10월 미 특수부대의 공격으로 피살)에 충성을 맹세한 사실이 드러났다. 그러나 외국 테러집단의 직접적인 개입은 드러나지 않았다.

FBI가 아이폰 잠금 장치를 푼 지 한두 달이 지나서, ‘모질라’ 사는 버그를 발견했고 이후 수정했다. ‘애지머스’가 만든 ‘익스플로잇’은 무용지물이 됐다. 애지머스의 해커 두 사람은 워싱턴포스트의 취재에 응하지 않았다.

Copyright © 조선일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
조선일보에서 직접 확인하세요. 해당 언론사로 이동합니다.